1 / 21

Windows 2000 Server これだけは やっておこう

Windows 2000 Server これだけは やっておこう. たかはしもとのぶ monyo@home.monyo.com http://www.monyo.com/. なぜ「これだけは」なのか. セキュリティに完璧はない - しかし際限なくセキュリティを強化するわけにもいかない 技術的に 100% は無理 完璧に近づけるにしたがい、求められる費用や技術力が青天井に - セキュリティも費用対効果の世界 かといって、何もせずに放置するのも論外. で、結局どこまでなにをすればよいか ?. 周りの ( だめだめな ) 管理者にどこまで言うべき ?.

derick
Download Presentation

Windows 2000 Server これだけは やっておこう

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Windows 2000 Serverこれだけはやっておこう たかはしもとのぶ monyo@home.monyo.com http://www.monyo.com/

  2. なぜ「これだけは」なのか • セキュリティに完璧はない - しかし際限なくセキュリティを強化するわけにもいかない • 技術的に100%は無理 • 完璧に近づけるにしたがい、求められる費用や技術力が青天井に - セキュリティも費用対効果の世界 • かといって、何もせずに放置するのも論外 で、結局どこまでなにをすればよいか? 周りの(だめだめな)管理者にどこまで言うべき?

  3. IISサーバで任意のコマンドを実行する http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-026 では、どこまでやるか? -何もしてないと…… セキュリティ対策をしていないと、いかに危険か http://<対象ホスト>/scripts/..%255c..%255c/winnt/system32/cmd.exe?/c+dir+c:\winnt

  4. 毎日のようにクラッキングが成功している スクリプトキディによる攻撃が多い 不正アクセス http://tsukachan.dip.jp/より、2002年10月にクラッキングされたサイトのリスト

  5. 不正アクセスをする人って…… • スクリプトキディ(Script Kiddy) • 他人のツールを利用して興味本位で攻撃をかける • 技術力は低い。痕跡を残す • Webページ改竄など、インパクトがある行動を好む • 普通の対策を行っていれば侵入されることはない • プロフェッショナル • 情報入手(もしくは破壊行為)が目的 • 技術力が高い。痕跡を残さない • 表立った行動は行わず、長期的に活動を行う

  6. 流行したワーム • Slammer ワーム(2003/01) • MS02-039: SQL Server 2000解決サービスの…… (2002/07/25) • BugBear ワーム(2002/10) • MS01-020: 不適切なMIMEヘッダーが原因で……(2001/3/30) • Nimda ワーム(2001/09) • MS01-026: 2001 年 5 月 14 日 IIS 用の……(2001/5/15) ・ ・ ・ 感染が多いワームは、既知の脆弱性を突いたものばかり

  7. では、どこまでやるか - まとめ • 基本的な対策を確実に行う • 最新の(セキュリティホールのない)バージョン、プロダクトの使用 • 不要なサービスは停止、不要なファイルは削除する • データを外部から参照可能なところに置かない • 運用管理体制を整える • 新規のセキュリティホールに随時対応していく • インターネットのサイトとして常識的なセキュリティ • 安易に踏み台にだけはされないレベルのセキュリティ • 既知の不具合には対処を行ってある状態 常識的?なセキュリティレベルでも、破るのはかなり困難

  8. これだけはやっておこう、なこと ツッコミかんげい やっと本題に

  9. 余計なものはインストールしない(含IIS以外) IISで最低限必要なコンポーネントは右の3つ 必要に応じて、ftp,SMTP(メール機能)等をインストールする FrontPage はインストールしないことを推奨 IISのインストール

  10. セキュリティツールキットで配布 IISのセキュリティ維持に必要な作業をウィザード形式で実行してくれる 不要なサービスの停止 不要な拡張子マッピングの削除 仮想ディレクトリ削除 URLScanのインストール IIS Lockdown ツールの実行 安易に実行せず、設定される内容をきちんと確認すること

  11. リクエスト中に含まれる不正なURLを遮断する IIS Lockdown のインストール過程でインストール 最新のURLScan 2.5はWebからダウンロード 設定内容を把握する URLScan の設定 EXEファイルは実行できなくなる 相対パスが使えなくなる

  12. 余計なポートをとじる • fport などで現状確認 • Windows XPでは、netstat -oコマンドでも可 tlist -sコマンドでservices/svchostの提供サービスを列挙 把握していないポートがオープンしていないようにする fport(http://www.foundstone.com/)

  13. 「管理ツール」ー「サービス」から不要なサービスを停止する「管理ツール」ー「サービス」から不要なサービスを停止する 開きポートの確認と併せて実施 不要なサービスを停止する どこまで停止するかは悩みどころ (特にServerサービス)、不要かどうか判断のつかないものもある

  14. セキュリティテンプレートの利用 • ここまで説明したセキュリティ設定などを手早く構成/確認できるツール • mmcから「セキュリティ テンプレート」と「セキュリティの構成と分析」スナップインを追加する 安易に構成を適用すると、提供サービスが無効になることもあるので、必ず設定内容を確認してから適用すること 現在の設定がテンプレートの基準をクリアしているかどうかが確認できる

  15. パケットフィルタ • Webサーバであれば、(サービス内容にも依存するが)ポート80と443以外は遮断する • ルータで行うことを推奨 • Windows 自身で行うときは、RRAS(Routing and Remote Access Service)サービスを有効にする • RRASがないと複雑な設定は行えない netsh routing ip add filter "ローカル エリア接続" input 0.0.0.0 0.0.0.0 192.168.230.128 255.255.255.255 proto=tcp srcport=any dstport=23 telnetポートへの接続をフィルタする例

  16. Hotfix(セキュリティ修正モジュール)の適用 • セキュリティホールに追従するためには必須 • Windows Updateに頼らないこと • Windows Update 適用可能なもの以外にも、サーバ製品用を中心に、様々なHotfixが存在 • とにかく適用すればよいというものでもない • 提供サービスに影響がでないかを評価する必要あり • 暫定対処して、定期メンテ時に導入などの解も考えられる Hotfixを適用するかの最終判断は管理者が行う

  17. Microsoftセキュリティメールの購読 • セキュリティ情報の更新を確実に受信できるようにする • 内容を確認の上、対処の検討を行うこと http://www.microsoft.com/japan/technet/security/bulletin/notify.asp

  18. セキュリティ上必要なHotfixの適用状態を調査するツールセキュリティ上必要なHotfixの適用状態を調査するツール 情報が格納されているstksecure.xmlファイルを最新版にしてチェックすることを忘れずに 一括適用にはqchainの利用が便利 HFNetChkで現状確認 各Hotfixの内容はきちんと確認すること

  19. 最低限なにをやるか - まとめ • 最新のバージョン、プロダクトの使用 • HFNetChk/セキュリティメールの購読 • 不要なサービスは停止、不要なファイルは削除 • IIS Lockdown ツール/URLScan/パケットフィルタ • 新規のセキュリティホールに随時対応していく • セキュリティメールの購読 + 適切な適用 最低限の「インターネットのサイトとして常識的なセキュリティ」を確保する

  20. リソース • TechNet セキュリティ センター • http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/default.asp • マイクロソフト プロダクト セキュリティ 警告サービス 日本語版 • http://www.microsoft.com/japan/technet/security/bulletin/notify.asp • セキュリティ ツール • http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/tools/tools.asp • 各種ドキュメントや、HfNetChk、IIS Lockdown ツールなどへのリンクがある • セキュリティホール memo • http://www.st.ryukoku.ac.jp/~kjm/security/memo/ • IPAセキュリティセンター • http://www.ipa.go.jp/security/

  21. リソース(2) • 今回紹介したツール • HFNetChk- ホットフィックスの適用状態を確認するツール • IISLockdown ツール - IISの設定をセキュアにするウィザード • URLScan- 不正なURLを遮断するツール • RRAS(Routing and Remote Access Service) • VPNやパケットフィルタを提供するサービス。標準では「無効」になっている • セキュリティテンプレート/セキュリティの構成と分析 • 予め作成したセキュリティテンプレートの設定にコンピュータの現在の設定が合致しているかの分析や、セキュリティテンプレートの設定の適用を行うツール • fport- 開放ポートを使っているプロセスを表示するツール http://www.microsoft.com/japan/technet/security/tools/tools.asp http://www.foundstone.com/knowledge/free_tools.html

More Related